Clauses contractuelles types : "les DPO ne sont pas du tout sûrs d’être en règle" selon Patrick Blum

La Commission européenne a publié les nouvelles clauses contractuelles types (CCT) le 4 juin dernier. Cette mise à jour, qui fait suite aux invalidations successives du Safe Harbour et du Privacy Shield, était très attendue par les entreprises.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Patrick Blum, délégué général de l'AFCDP fait le point avec nous.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Concrètement, à quoi servent les clauses contractuelles types ?

La Commission européenne propose un modèle de clauses contractuelles qui sont censées permettre à une entreprise européenne qui transmet des données vers l’étranger de garantir que ce transfert soit conforme et respectueux du RGPD.

Ces CCT sont utilisées par les entreprises en particulier lorsqu’elles transfèrent des données vers un pays qui n’est pas considéré comme « adéquat » en matière de protection des données personnelles, et en particulier vers les États-Unis.

Il faut savoir que ces CCT font suite à deux autres tentatives préalables : le Safe Harbour, qui a été attaqué par Schrems, et invalidé par la CJUE, puis le Privacy Shield, lui aussi invalidé car il ne permet pas d’assurer une protection des données transférées vers les Etats-Unis. La Commission a une vision très libérale de la protection des données : elle veut favoriser la libre circulation des données, y compris de nature personnelles, et cherche à favoriser à tout prix le transfert de données vers les USA. Elle a donc décidé de mettre en place de nouvelles CCT.

Quel est l’objet du débat sur ces clauses contractuelles types ?

Les deux invalidations décidées par la CJUE portent surtout sur l’usage des données par les autorités publiques américaines, qui ont des droits extrêmement importants et qui peuvent donc intercepter ces données.

En pratique, les CCT n’ont pas résolu ce problème. Il y a pourtant eu des attentes extrêmement fortes des entreprises.

Les grandes structures peuvent négocier leurs propres clauses (les CCT n’étant pas obligatoires) mais les PME, les associations ou les petites structures n’ont pas les moyens de négocier avec leurs partenaires américains.
Le Parlement européen avait adopté une résolution qui exprimait des attentes très fortes concernant ces nouvelles clauses.

Quelles sont les inquiétudes exprimées par les DPO membres de l’AFCDP ?

Ce qui transparait dans les inquiétudes formulées par nos membres, c’est de l’incompréhension : ils ne voient pas dans ces nouvelles CCT une réponse à leurs attentes. Nous attendions un outil qui permette de dire : « si mon organisation applique ces clauses, elle est tranquille dans son transfert de données ». En réalité, les DPO ne sont pas du tout sûrs d’être en règle.

Les CCT ne traitent pas le problème soulevé par l’invalidité du Safe Harbour ou du Privacy Shield ou elles le traitent de manière hypocrite.  

Quelles sont les clauses qui posent un problème en particulier ?

• Le libellé de la clause 14A est étonnant puisqu’il stipule que « les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses ».

Or, on sait très bien que les lois américaines donnent des pouvoirs importants aux autorités. On est censé appliquer des clauses qui disent que nous n’avons aucune raison de croire que c’est le cas…

• La clause 14 B stipule que « les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des circonstances particulières du transfert, des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données, etc. ».

Ces clauses sont d’une grande hypocrisie. Au lieu d’apporter des garanties, la Commission européenne dit que c’est les entreprises qui sont censées savoir s’il y a des garanties. 

En pratique, ces clauses sont d’une grande hypocrisie. Au lieu d’apporter des garanties, la Commission européenne dit que c’est les entreprises qui sont censées savoir s’il y a des garanties.

On sait pourquoi on en est là : si la Commission voulait apporter des garanties, il faudrait qu’elle obtienne de la part des Etats-Unis une modification de sa législation et elle a peu de chances d’y arriver. C’est pourtant ce que le Parlement demandait à la Commission.

• La clause 15.1 a) stipule que si l’entreprise américaine fait l’objet d’une demande de communication de données par les autorités, elle a l’obligation de l’indiquer à l’entreprise européenne. Cela part d’un bon sentiment.

Or, la clause 15.1 b) dit que si la législation américaine interdit d’informer la partie européenne, l’entreprise américaine s’engage à faire tout son possible pour faire changer d’avis les autorités et qu’elle doit en garder la preuve.

Ces clauses font écho à Microsoft, qui avait déclaré il y a quelques mois qu’elle s’opposerait à l’accès, par les autorités américaines, aux données personnelles qu’elle traite mais qu’elle n’informerait pas ses clients si les autorités lui interdisent de le faire.

Sur ce point, nos membres sont très inquiets. Juridiquement, nous sommes censés utiliser des clauses qui peuvent être attaquées individuellement par les entreprises. Si une entreprise européenne transfère des données vers les USA dans le cadre de ces CCT, un client peut attaquer l’entreprise en justice. Elle devra se défendre en expliquant qu’elle a appliqué les CCT et qu’elle ne peut rien faire concernant l’accès aux données par les autorités américaines.  

Nous sommes censés utiliser des clauses qui peuvent être attaquées individuellement par les entreprises.  

Que recommandez-vous aux entreprises ?

On est un peu piégé mais il y a deux manières de voir le sujet.

Cela pose le problème des fournisseurs lourds avec lesquels nous n’avons pas les moyens de négocier (Google, Facebook, Amazon, les solutions IT américaines, etc.). Ces interlocuteurs nous proposeront leurs nouvelles clauses qui s’appuient sur les nouvelles CCT de la Commission et nous n’aurons que très peu de marge de manœuvre pour pouvoir travailler avec eux.

On peut aussi avoir une attitude plus prosaïque et se demander quel est le risque ? Le problème est différent selon la nature des données que l’entreprise transmet. Par exemple, lorsqu’une entreprise utilise Zoom, en dehors du contenu des communications, les données personnelles collectées sont finalement modestes et s’il s’agit d’échanger sur des sujets non stratégiques et non confidentiels, cela ne présente pas d’inconvénients majeurs.  

Finalement, la seule réaction est d’évaluer au coup par coup quel est le risque et de prendre les mesures nécessaires.

Une des solutions peut être de chiffrer les données mais c’est un dispositif assez lourd et ce n’est pas pratique d’un point de vue opérationnel. Aujourd’hui, les DPO n’ont pas d’autres solutions à proposer que d’arrêter les transferts de données personnelles qui posent problème et de trouver une solution européenne. S’il n’y a pas d’autre choix que de transférer ces données vers les Etats-Unis, l’entreprise doit évaluer le risque, minimiser ce risque afin qu’il y ait le minimum de données en circulation et de prévenir les personnes concernées.

Les DPO devront faire indiquer dans les mentions légales que les données personnelles font l’objet d’un transfert vers les Etats-Unis dans le respect des CCT signées avec l’entreprise destinataire.

Comment les entreprises doivent-elles mettre en place ces nouvelles CCT ?

La Commission a laissé un délai de 18 mois pour permettre aux entreprises de revoir leurs contrats et de mettre à jour les CCT. Si l’entreprise n’utilise pas les anciennes CCT, elle a 3 mois pour mettre en place les nouvelles. En tout état de cause, dans 18 mois, les entreprises doivent avoir signé les nouvelles CCT avec toutes les entreprises avec lesquelles elles transfèrent des données ou disposer d’un autre instrument : les BCR, des accords particuliers ou l’adhésion à un code de conduite.

Dans le communiqué de presse de l’AFCDP en réaction à la publication de ces nouvelles CCT, il est indiqué que vous attendez la réaction du Parlement européen. Qu’en attendez-vous ?

Nous pouvons espérer que le Parlement européen revienne sur le sujet et qu’il demande des améliorations à la Commission mais nous ne nous faisons pas d’illusions. Aujourd’hui, il y a d’autres sujets liés aux données (DGA, DSA, DMA, Data Act, règlement E-Privacy) alors je ne suis pas certain que les CCT fassent partie des priorités à traiter.